Unternehmen werden immer öfter Opfer von Cyberangriffen. Nicht nur umsatzstarke Großunternehmen, auch KMU rücken verstärkt in den Fokus der Täter. Umso wichtiger, darauf vorbereitet zu sein – und sich zu schützen.
Der Angriff verlief nach einem klassischen Muster: Vermutlich über eine täuschend echt gestaltete Phishing-Mail wurde ein Mitarbeiter der Badischen Stahlwerke (BSW) dazu verleitet, auf einen manipulierten Link oder Dateianhang zu klicken.
2023 gelangte so Schadsoftware ins Unternehmensnetzwerk. Auf diese Weise verschafften die Täter sich Zugriff zum Netzwerk des Kehler Betriebs. Unbemerkt bereiteten sie die Verschlüsselung zentraler Systeme vor. Ziel: Erpressung. Eines Nachts, rund drei Wochen später, schlugen sie richtig zu.
Ein Cyberangriff kann jeden treffen, vom Kleinstunternehmen bis zum großen Konzern jeglicher Branche. Als „angespannt“ bezeichnet die Cybersicherheitsbehörde des Bundes, das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Lage der IT-Sicherheit in Deutschland in ihrem Bericht 2024 und vieles deutet darauf hin, dass es 2025 noch schlimmer ist. Wirtschaftsunternehmen seien häufige Opfer von Cyberangriffen; neben umsatzstarken Großunternehmen zunehmend auch die kleinen und mittleren (KMU). Tendenziell würden sich Täter die am leichtesten angreifbaren Opfer aussuchen. Je schlechter der Schutz, desto wahrscheinlicher der Cyberangriff.
Auch das baden-württembergische Innenministerium zeichnet ein düsteres Bild: Die zunehmende Vernetzung und Digitalisierung weiter Lebensbereiche biete Cyberkriminellen immer neue Tatgelegenheiten und Tatbegehungsformen. Hinzu kommt künstliche Intelligenz, die zwar einerseits effektivere Verteidigungsmethoden durch die Sicherheitsbehörden ermögliche, in gleicher Weise aber auch leistungsfähigere Angriffe durch Cyberkriminelle. Oder komplexe Straftaten sogar durch Laien. Eine Stärke der Unternehmen im Ländle wird ihnen dabei zum Verhängnis: ihre Innovationskraft.
Den Südwesten im Visier
„Baden-Württemberg mit seinen vielen innovativen Unternehmen ist nach wie vor ein beliebtes Ziel für Cyberkriminelle.“ Für die Opfer kann das teuer werden – bis hin zur Existenzgefährdung. 2024 betrug laut Branchenverband Bitkom der Schaden für Unternehmen in Deutschland durch Cybercrime 180 Milliarden Euro. Und die Zahl könnte noch höher werden. „Analog zum Bundestrend steigen in Baden-Württemberg die Fallzahlen, die bei der Polizei angezeigt wurden, im Bereich der Cyberkriminalität kontinuierlich an“, so das Innenministerium. 2024 seien knapp 15 000 Cybercrime-Delikte erfasst worden, elf Prozent mehr als im Vorjahr. Das Dunkelfeld dürfte höher liegen. Die Bedrohungslage umfasse sowohl Handlungen krimineller Organisationen als auch staatlich motivierte Angriffe. Die Bandbreite der Methoden ist groß: von Phishing-Mails über Passwort-Kompromittierungen, nicht gepatchte Sicherheitslücken, Malware bis hin zu Vollverschlüsselungen mit Ransomware und mehr.
„Die Hacker verschlüsselten zentrale Systeme und forderten Lösegeld für die Entschlüsselung“, so beschreibt es Ralf Butsch, Chief Information Security Officer (CISO) der Südwest-Gruppe, der auch die Badischen Stahlwerke angehören. Das Unternehmen, mit 850 Mitarbeitern eines der größten sowie technologisch modernsten Elektrostahlwerke in Deutschland, hatte Glück im Unglück: Der Angriff flog rasch auf. „Da wir als Stahlwerk ein 24/7-Betrieb sind, wurde recht schnell bemerkt, dass einige Serversysteme nicht mehr funktionstüchtig waren“, so Butsch. Unmittelbar nach Bekanntwerden des Angriffs wurde der IT-Notfallplan aktiviert. Die betroffenen Systeme wurden vom Netz getrennt, ein Krisenteam unter Leitung der Geschäftsführung gebildet, externe IT-Forensiker hinzugezogen und die Strafverfolgungsbehörden sowie der Landesdatenschutzbeauftragte eingeschaltet. „Gleichzeitig haben wir unsere Kunden und Partner transparent über den Vorfall informiert.“
Ähnlich lief es beim Greentech-Unternehmen Wehrle in Emmendingen. Dort war es IT-Leiter Marcus Burger, der an einem Samstag im Mai 2024 wie jeden Tag die Systeme des Unternehmens für Anlagenbau checkte und feststellte, dass die nicht mehr wie gewohnt funktionierten. Innerhalb weniger Stunden waren die nötigen Schritte in die Wege geleitet – trotzdem schien zunächst alles verloren. Von den Endgeräten bis zu einzelnen Anwendungen war alles verschlüsselt, erzählt Burger im Videocall.
Für die Badischen Stahlwerke hatte der Cyberangriff weitreichende Folgen für den Betrieb, obwohl der Angriff früh entdeckt wurde. Butsch: „Ein temporärer, aber umfassender Betriebsstillstand mit spürbarem wirtschaftlichem Schaden.“ Dank der Hands-on-Mentalität aller Betroffenen und mit viel Papier und Exceltabellen sei die Produktion bald wieder angelaufen. Nach wenigen Tagen konnte das Unternehmen schrittweise in den Regelbetrieb zurückkehren.
Glück im Unglück – oder…?
Bei Wehrle schien die Sache zunächst glimpflich auszugehen. Die Produktion habe auch ohne IT weiterarbeiten können, erzählt Marcus Burger. Und anders als gedacht, waren dank Back-up die Systeme noch vorhanden, die Lösegeldforderung der Täter lief dadurch ins Leere. Betriebliche Verzögerungen gab es bei dem Unternehmen (weltweit 250 Mitarbeiter, Umsatz von rund 35 Millionen Euro im Geschäftsjahr 2024/25) dennoch. Denn es dauerte vier Wochen, bis die ersten Laptops wieder genutzt werden konnten, und Monate, bis das Netzwerk restrukturiert war. Im Sommer 2025 musste Wehrle Insolvenz anmelden. Zu diversen wirtschaftlichen Herausforderungen in schwierigen Zeiten sei der Hackerangriff erschwerend hinzugekommen, teilte das Unternehmen mit.
„Es ist unerlässlich, dass Unternehmen in ihre eigene Cybersicherheit investieren“, betont das Innenministerium. „Durch präventive Maßnahmen und aufmerksame Beschäftigte lässt sich erreichen, dass viele Angriffe ins Leere laufen.“ Auch eine Cyberversicherung kann eine Möglichkeit sein.
Auch die Sicherheitsbehörden im Land kämpfen gegen Internetkriminalität. Beim Landeskriminalamt Baden-Württemberg ermittelt und unterstützt seit 2012 die Abteilung Cybercrime und Digitale Spuren. Außerdem verfügen seit 2014 alle regionalen Polizeipräsidien über spezialisierte Einheiten, die Kriminalinspektionen 5. Beim LKA wurde 2013 die Zentrale Ansprechstelle Cybercrime (ZAC) eingerichtet, die rund um die Uhr erreichbar ist. Behörden und Unternehmen haben so einen zentralen Ansprechpartner bei der Polizei.
Wirtschaftsspionage in Form von Cyberangriffen verursacht in Baden-Württemberg jedes Jahr beträchtliche finanzielle Schäden. Eine Aufgabe des Landesamts für Verfassungsschutz ist es, die Unternehmen im Land durch Sensibilisierung, Aufklärung und Beratung vor fremdstaatlich gesteuerter Spionage und Sabotage zu schützen. In Sachen Prävention bietet die Cybersicherheitsagentur Baden-Württemberg (CSBW) speziell für kleine und mittlere Unternehmen (KMU) den Cybersicherheits-Check an – ein vom Innenministerium und der CSBW unter Beteiligung des Landeskriminalamts entwickeltes Präventionsangebot. Seit Herbst 2024 wird der Check den Unternehmen über die Industrie- und Handelskammern angeboten. Anhand eines niedrigschwelligen Fragebogens wird dabei die Sicherheitslage im Unternehmen eingeschätzt. Anschließend werden die Ergebnisse gemeinsam diskutiert und konkrete Handlungsempfehlungen gegeben.
Dass sich der Check an KMU richtet, ist kein Zufall: Großunternehmen haben meist andere personelle und finanzielle Ressourcen und sind daher in Sachen Cybersicherheit besser aufgestellt, sagt Hülya Sevgin von der IHK Südlicher Oberrhein, die, ebenso wie die Kollegen der IHK Hochrhein-Bodensee, ihren Mitgliedern den kostenfreien Cybersicherheits-Check anbietet. Sevgin ist es dabei vor allem wichtig, die Unternehmen zu sensibilisieren: „Einen hundertprozentigen Schutz gibt es nicht, aber es ist möglich, präventiv Maßnahmen zu ergreifen, auch um bei einem Angriff den Schaden möglichst gering zu halten.“ Bei der IHK Schwarzwald-Baar-Heuberg geht man einen ähnlichen Weg: Dort bietet Alexander Rösgen in Zusammenarbeit mit dem IHK-Arbeitskreis IT-Wirtschaft kostenfreie Cybersicherheits-Sprechtage für KMU an.
Für die Badischen Stahlwerke war der Angriff ein Wendepunkt für die IT – sowohl technisch als auch organisatorisch: „Wir haben unsere gesamte IT-Sicherheitsarchitektur neu bewertet“, sagt CISO Butsch. Sein Rat: klare Verantwortlichkeiten definieren. „Cybersicherheit ist kein IT-Thema – es ist Chefsache.“ Auch bei Wehrle hat man nach dem Hackerangriff „alles auf Links gekrempelt“. Und IT-Leiter Burger betont, es sei wichtig, neben dem Notfallplan eine Notfallkommunikation zu haben – die auch analog zugänglich ist. Susanne Ehmann
Was Unternehmen tun können
Die CSBW unterstützt präventiv und bei verdächtigen Vorgängen oder tatsächlichen Cyberangriffen.
Cybersicherheits-Check für KMU
IHK Südlicher Oberrhein, Kontakt: Hülya Sevgin, 07 61/38 58-8 70,
huelya.sevgin@freiburg.ihk.de
IHK Hochrhein-Bodensee, Kontakt: Sunita Patel, 0 75 31/28 60-1 26,
sunita.patel@konstanz.ihk.de
Cybersicherheits-Sprechtage
für KMU der IHK Schwarzwald-Baar-Heuberg, Kontakt:
Alexander Rösgen, 0 77 21/9 22-1 56,
alexander.roesgen@vs.ihk.de
Cybersicherheitsnetzwerk IHK Südlicher Oberrhein:
21. November in Lahr
Mehr Infos gibt es hier.